모의훈련
큐싱 모의훈련
스마트폰 카메라 한 번의 스캔, 그것이 해커의 침투 경로가 됩니다.
QR코드를 위장한 큐싱(Qshing) 공격, 시큐랩의 실전 모의훈련으로 임직원의 방어 본능을 키웁니다.
큐싱(Qshing)이란?
QR코드(QR Code) + 피싱(Phishing)의 합성어로, 악성 URL이 삽입된 QR코드를 통해
개인정보 탈취·악성앱 설치·금융사기를 유도하는 신종 사이버 공격입니다.
포스터·명함·이메일·사내 공지문 속에 자연스럽게 녹아든 QR코드는 육안으로 악성 여부를 판별하기 극히 어렵습니다.
큐싱 모의훈련 개요
큐싱 모의훈련은 악성 URL이 삽입된 훈련용 QR코드를 실제 업무 환경과 동일한 방식으로 배포하여 임직원의 스캔·정보 입력 행동을 측정하고, 즉각적인 보안 교육으로 연계하는 훈련입니다.
㈜시큐랩은 사전 동의된 대상과 채널 범위 내에서 안전하고 통제된 방식으로 모의훈련을 수행합니다.
시큐랩만의 압도적 특장점
· 현실 밀착 시나리오: 사내 와이파이 신청, 출입증 QR, 설문 QR, 경품 응모 등 실제 업무 환경에서 마주치는 최신 위장 유형 제공
· 다채널 배포 지원: 이메일 본문·인쇄물·디지털 사이니지·사내 포털 등 다양한 경로로 훈련용 QR코드 배포 가능
· 정밀 행동 추적: QR 스캔 여부·랜딩 페이지 접속·정보 입력 시도까지 단계별 실시간 데이터 수집
· Just-in-Time 교육: 스캔 직후 훈련 상황 고지 및 보안 수칙 즉각 노출로 '행동-학습 연계' 극대화
· ISMS-P 증빙 대응: 모의훈련 시행 이력·결과 보고서를 보안 교육 증빙 자료로 활용 가능
기대 효과
· 모바일 보안 취약점 보완: QR 스캔 습관에 내재된 위험을 체험으로 인지하여 임직원 보안 행동 변화 유도
· 조직 보안 수준 가시화: 부서별·직급별 스캔율·정보 입력율을 수치로 확인하고 취약 그룹 식별
· 내부 보안 문화 정착: '의심하고, 확인하고, 보고한다'는 3단계 보안 습관을 조직 전체에 확산
QR코드를 스캔하기 전, 한 번 더 생각하는 습관이 기업을 지킵니다.
시큐랩의 큐싱 모의훈련으로 임직원의 보안 반사 신경을 단련하세요.
시큐랩 큐싱 모의훈련 프로세스
-
STEP 01. 훈련 플랜 수립 (Plan)
-기업 맞춤 설계: 조직의 산업군·업무 환경·QR 활용 패턴을 분석하여 현실감 높은 훈련 방향을 설정합니다.
-시나리오 선정: 사내 공지·경품·출입증·와이파이·결제 QR 등 기업 상황에 최적화된 큐싱 시나리오를 확정합니다. -
STEP 02. 동의 수집 및 QR 배포 (Deploy)
-사전 동의 획득: 훈련 대상 임직원에게 개인별 URL을 발송하여 모의훈련 참여 동의를 수집합니다.
-악성 QR 배포: 이메일·MMS 문자·사내 메신저(카카오워크·Teams·Slack 등)·인쇄물·디지털 사이니지 등 합의된 채널을 통해 훈련용 큐싱 QR코드를 배포합니다.
-자연스러운 위장: 실제 업무 공지와 구분이 어려운 수준의 레이아웃·문구·발신 정보로 시나리오를 구성합니다. -
STEP 03. 피싱 랜딩 페이지 노출 (Phishing)
-실제와 동일한 UI 구현: 임직원이 QR을 스캔하면 사내 포털·와이파이 신청·이벤트 페이지와 구분이 어려운 수준의 모의 피싱 페이지로 이동합니다.
-개인정보 입력 유도: 이름·연락처·사번·계정정보 입력을 유도하여 실제 공격 상황을 그대로 재현합니다. -
STEP 04. 즉각 교육 (Education)
-스캔 즉시 안내: 임직원이 QR을 스캔하는 순간 '모의훈련 상황'임을 즉시 고지합니다.
-핵심 보안 수칙 노출: 해당 큐싱 유형과 실제 피해 사례, 올바른 대응 방법을 즉각 안내하여 실수가 발생한 그 순간에 학습 효과를 극대화합니다.
-반복 노출 차단 교육: 고위험군 임직원에게 추가 교육 콘텐츠를 연계하여 재발 방지를 유도합니다. -
STEP 05. 결과 보고서 제공 (Report)
-종합 분석 리포트: 훈련 종료 후 QR 스캔율·페이지 접속율·정보 입력율 등 단계별 피싱 성공률을 수치화하여 제공합니다.
-부서별·개인별 분석: 어떤 부서·직군이 가장 취약한지 데이터 기반으로 식별하여 집중 교육 대상자를 선정합니다.
-개선 방향 제시: 훈련 결과를 바탕으로 향후 보안 교육 계획 및 QR 보안 정책 수립에 활용 가능한 인사이트를 제공합니다.
훈련 진행 예시 — 사내 와이파이 신청 QR 사칭 시나리오
훈련 동의 수집
※ 훈련 전 전체 대상자에게 개인 URL 발송 — 동의 완료자에 한해 훈련 QR 배포 진행
악성 QR코드 배포 (이메일·MMS·사내 메신저·인쇄물)
📢 사내 공지
신규 업무용 와이파이 안내
보안 강화를 위해 사내 와이파이가 개편되었습니다.
아래 QR코드를 스캔하여 신청해 주세요.
※ 이메일·MMS·카카오워크·Teams·Slack·인쇄물 등 다채널 동시 배포 가능 — 실제 공지와 육안 식별 사실상 불가능
피싱 랜딩 페이지 (QR 스캔 후 이동)
업무용 와이파이 신청
신규 보안 와이파이 사용을 위해 본인 확인이 필요합니다.
아래 정보를 입력해 주세요.
※ 실제 사내 포털과 동일한 UI 구현 — 사번·계정정보 탈취를 목적으로 한 전형적인 큐싱 수법
즉각 교육 페이지 (스캔 시 자동 노출)
⚠️ 큐싱 모의훈련 대상자입니다
방금 스캔하신 QR코드는 실제 피싱이 아닌 모의훈련 QR입니다.
실제 공격이었다면 사번·계정 정보가 탈취되었을 수 있습니다.
- ✔ QR코드는 스캔 전 반드시 출처(출력자·발신자)를 확인하세요
- ✔ 이동한 URL의 도메인이 공식 주소와 일치하는지 확인하세요
- ✔ 계정 정보·비밀번호 입력 전 반드시 IT보안팀에 문의하세요
- ✔ 의심 QR은 즉시 보안팀에 신고하세요
※ 스캔 즉시 교육 콘텐츠 노출 — 행동과 학습을 연계하여 보안 인식 내재화
결과 집계 및 리포트
훈련 완료 후 QR 스캔율·랜딩페이지 접속율·정보 입력율·부서별 취약 현황을 종합 분석한 보고서를 제공합니다.
부서별 QR 스캔율
※ 위 수치는 훈련 예시 데이터입니다
메두사(MEDUSA) 실제 시스템 화면
시큐랩의 큐싱 모의훈련 전용 플랫폼 메두사(MEDUSA)는 QR 코드 생성부터 배포·스캔 추적·결과 분석까지 모든 과정을 하나의 화면에서 직관적으로 운영할 수 있습니다. 이미지를 클릭하면 크게 확인할 수 있습니다.
